本發(fā)明涉及通信技術(shù)領(lǐng)域,具體地,涉及一種Docker容器的創(chuàng)建方法和創(chuàng)建系統(tǒng)。
背景技術(shù):
目前,Linux操作系統(tǒng)中,所有容器運(yùn)行的是相同的強(qiáng)制訪問控制類型(即SELinux類型,如svirt_lxc_net_t),該類別允許所有網(wǎng)絡(luò)端口都能處于監(jiān)聽狀態(tài),也允許所有網(wǎng)絡(luò)端口都能對(duì)外發(fā)起連接。對(duì)于容器而言,例如,在一個(gè)容器中運(yùn)行某個(gè)服務(wù)程序,一旦該服務(wù)程序被成功入侵,該服務(wù)程序進(jìn)程將會(huì)連接任何網(wǎng)絡(luò)端口并成為制造垃圾信息的機(jī)器人,也可能會(huì)通過網(wǎng)絡(luò)攻擊其他宿主機(jī)和容器,這便為容器留下了不可否認(rèn)的安全問題。
Docker容器的安全問題本質(zhì)上就是容器技術(shù)的安全性問題,安全性問題90%以上可以歸結(jié)為隔離性問題,Docker容器的隔離性主要運(yùn)用Namespace技術(shù)。Namespace技術(shù)是Linux操作系統(tǒng)提供的一種內(nèi)核級(jí)別環(huán)境隔離的方法。但是,雖然Docker容器可通過Namespace的方式分隔出看似是獨(dú)立的空間,然而Linux操作系統(tǒng)內(nèi)核卻不能通過Namespace的方式分隔,所以即使Docker容器具有多個(gè)獨(dú)立的空間(Container),但由于所有的Linux操作系統(tǒng)調(diào)用其實(shí)都是通過主機(jī)的內(nèi)核處理,所以最終還是會(huì)為Docker容器留下安全隱患。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明針對(duì)現(xiàn)有技術(shù)中存在的上述技術(shù)問題,提供一種Docker容器的創(chuàng)建方法和創(chuàng)建系統(tǒng)。該Docker容器的創(chuàng)建方法能使進(jìn)程中運(yùn)行鏡像時(shí)能使用該強(qiáng)制訪問控制策略,從而避免了 主機(jī)內(nèi)核(如Linux操作系統(tǒng))在不同的系統(tǒng)調(diào)用中運(yùn)行Docker容器中的進(jìn)程時(shí)對(duì)Docker容器的安全形成威脅,加強(qiáng)了Docker容器的安全性;同時(shí)還簡(jiǎn)化了系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí)的強(qiáng)制訪問控制過程。
本發(fā)明提供一種Docker容器的創(chuàng)建方法,包括:
為所述Docker容器中的鏡像定義強(qiáng)制訪問控制策略,以使開啟所述Docker容器中的進(jìn)程時(shí)使用所述強(qiáng)制訪問控制策略;
在所述Docker容器創(chuàng)建時(shí),將所述強(qiáng)制訪問控制策略嵌入所述鏡像中的元數(shù)據(jù)中。
優(yōu)選地,所述為所述Docker容器中的鏡像定義強(qiáng)制訪問控制策略包括:
根據(jù)所述鏡像的功能為所述強(qiáng)制訪問控制策略定義名稱;
定義所述鏡像的強(qiáng)制訪問控制類型;
定義所述鏡像的強(qiáng)制訪問控制類型的類型權(quán)限上界;
為所述鏡像的強(qiáng)制訪問控制類型定義名稱;
定義所述鏡像的強(qiáng)制訪問控制規(guī)則。
優(yōu)選地,所述鏡像的強(qiáng)制訪問控制類型的類型權(quán)限上界包括svirt_lxc_net_t。
優(yōu)選地,所述開啟所述Docker容器中的進(jìn)程時(shí)使用所述強(qiáng)制訪問控制策略包括:
當(dāng)開啟所述Docker容器中的進(jìn)程時(shí),所述進(jìn)程按照所述強(qiáng)制訪問控制規(guī)則執(zhí)行可執(zhí)行文件,包括:
當(dāng)所述進(jìn)程的類型和所述可執(zhí)行文件的類型均屬于系統(tǒng)策略中定義的類型集合時(shí),所述進(jìn)程不能執(zhí)行所述可執(zhí)行文件;
當(dāng)所述進(jìn)程的類型屬于所述系統(tǒng)策略中定義的類型集合,且所述可執(zhí)行文件的類型屬于所述強(qiáng)制訪問控制策略中定義的類型集合時(shí),判斷所述進(jìn)程的類型權(quán)限是否低于所述強(qiáng)制訪問控制類型的類型權(quán)限上界,如果是,所述進(jìn)程能執(zhí)行所述可執(zhí)行文件,且所述進(jìn)程的類型能切換為默認(rèn)類型;否則,所述進(jìn)程不能執(zhí)行所述可執(zhí)行文件,且所述進(jìn)程的類型不能切換為所述默認(rèn)類型;
當(dāng)所述進(jìn)程的類型屬于所述強(qiáng)制訪問控制策略中定義的類型集合,且所述可執(zhí)行文件的類型屬于所述系統(tǒng)策略中定義的類型集合時(shí),判斷所述可執(zhí)行文件的類型權(quán)限是否低于所述強(qiáng)制訪問控制類型的類型權(quán)限上界;如果是,所述進(jìn)程能執(zhí)行所述可執(zhí)行文件,且所述進(jìn)程的類型能切換為默認(rèn)類型;否則,所述進(jìn)程不能執(zhí)行所述可執(zhí)行文件,且所述進(jìn)程的類型不能切換為所述默認(rèn)類型;
當(dāng)所述進(jìn)程的類型和所述可執(zhí)行文件的類型均屬于所述強(qiáng)制訪問控制策略中定義的類型集合時(shí),所述進(jìn)程能執(zhí)行所述可執(zhí)行文件,且所述進(jìn)程的類型能切換為默認(rèn)類型;
其中,所述系統(tǒng)策略中定義的類型集合為系統(tǒng)定義的除所述Docker容器以外的所述系統(tǒng)中的其他進(jìn)程和文件的類型集合;所述強(qiáng)制訪問控制策略中定義的類型集合為給所述Docker容器中的鏡像定義的類型集合。
本發(fā)明還提供一種Docker容器的創(chuàng)建系統(tǒng),包括:
定義模塊,用于為所述Docker容器中的鏡像定義強(qiáng)制訪問控制策略,以使開啟所述Docker容器中的進(jìn)程時(shí)使用所述強(qiáng)制訪問控制策略;
嵌入模塊,用于在所述Docker容器創(chuàng)建時(shí),將所述強(qiáng)制訪問控制策略嵌入所述鏡像中的元數(shù)據(jù)中。
優(yōu)選地,所述定義模塊包括:
第一定義單元,用于根據(jù)所述鏡像的功能為所述強(qiáng)制訪問控制策略定義名稱;
第二定義單元,用于定義所述鏡像的強(qiáng)制訪問控制類型;
第三定義單元,用于定義所述鏡像的強(qiáng)制訪問控制類型的類型權(quán)限上界;
第四定義單元,用于為所述鏡像的強(qiáng)制訪問控制類型定義名稱;
第五定義單元,用于定義所述鏡像的強(qiáng)制訪問控制規(guī)則。
優(yōu)選地,所述鏡像的強(qiáng)制訪問控制類型的類型權(quán)限上界包括 svirt_lxc_net_t。
優(yōu)選地,所述定義模塊用于在開啟所述Docker容器中的進(jìn)程時(shí),使所述進(jìn)程按照所述強(qiáng)制訪問控制規(guī)則執(zhí)行可執(zhí)行文件;
所述定義模塊還用于在所述進(jìn)程的類型和所述可執(zhí)行文件的類型均屬于系統(tǒng)策略中定義的類型集合時(shí),使所述進(jìn)程不能執(zhí)行所述可執(zhí)行文件;
所述定義模塊還用于在所述進(jìn)程的類型屬于所述系統(tǒng)策略中定義的類型集合,且所述可執(zhí)行文件的類型屬于所述強(qiáng)制訪問控制策略中定義的類型集合時(shí),判斷所述進(jìn)程的類型權(quán)限是否低于所述強(qiáng)制訪問控制類型的類型權(quán)限上界,并根據(jù)判斷結(jié)果確定所述進(jìn)程是否能執(zhí)行所述可執(zhí)行文件和所述進(jìn)程的類型是否能切換為默認(rèn)類型;
所述定義模塊還用于在所述進(jìn)程的類型屬于所述強(qiáng)制訪問控制策略中定義的類型集合,且所述可執(zhí)行文件的類型屬于所述系統(tǒng)策略中定義的類型集合時(shí),判斷所述可執(zhí)行文件的類型權(quán)限是否低于所述強(qiáng)制訪問控制類型的類型權(quán)限上界,并根據(jù)判斷結(jié)果確定所述進(jìn)程是否能執(zhí)行所述可執(zhí)行文件和所述進(jìn)程的類型是否能切換為默認(rèn)類型;
所述定義模塊還用于在所述進(jìn)程的類型和所述可執(zhí)行文件的類型均屬于所述強(qiáng)制訪問控制策略中定義的類型集合時(shí),使所述進(jìn)程能執(zhí)行所述可執(zhí)行文件,且所述進(jìn)程的類型能切換為默認(rèn)類型;
其中,所述系統(tǒng)策略中定義的類型集合為系統(tǒng)定義的除所述Docker容器以外的所述系統(tǒng)中的其他進(jìn)程和文件的類型集合;所述強(qiáng)制訪問控制策略中定義的類型集合為給所述Docker容器中的鏡像定義的類型集合。
本發(fā)明的有益效果:本發(fā)明所提供的Docker容器的創(chuàng)建方法,通過為Docker容器中的鏡像提供定制的強(qiáng)制訪問控制策略,能使進(jìn)程中運(yùn)行鏡像時(shí)能使用該強(qiáng)制訪問控制策略,從而避免了主機(jī)內(nèi)核(如Linux操作系統(tǒng))在不同的系統(tǒng)調(diào)用中運(yùn)行Docker 容器中的進(jìn)程時(shí)對(duì)Docker容器的安全形成威脅,加強(qiáng)了Docker容器的安全性;同時(shí)還簡(jiǎn)化了系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí)的強(qiáng)制訪問控制過程。
本發(fā)明所提供的Docker容器的創(chuàng)建系統(tǒng),通過設(shè)置定義模塊和嵌入模塊,能為Docker容器中的鏡像提供定制的強(qiáng)制訪問控制策略,以使進(jìn)程中運(yùn)行鏡像時(shí)能使用該強(qiáng)制訪問控制策略,從而避免了主機(jī)內(nèi)核(如Linux操作系統(tǒng))在不同的系統(tǒng)調(diào)用中運(yùn)行Docker容器中的進(jìn)程時(shí)對(duì)Docker容器的安全形成威脅,加強(qiáng)了Docker容器的安全性;同時(shí)還簡(jiǎn)化了系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí)的強(qiáng)制訪問控制過程。
附圖說明
圖1為本發(fā)明實(shí)施例1中Docker容器的創(chuàng)建方法的流程圖;
圖2為本發(fā)明實(shí)施例2中Docker容器中的進(jìn)程執(zhí)行可執(zhí)行文件時(shí)遵循的強(qiáng)制訪問控制規(guī)則;
圖3為本發(fā)明實(shí)施例3中Docker容器的創(chuàng)建系統(tǒng)的原理框圖。
其中的附圖標(biāo)記說明:
1.定義模塊;11.第一定義單元;12.第二定義單元;13.第三定義單元;14.第四定義單元;15.第五定義單元;2.嵌入模塊。
具體實(shí)施方式
為使本領(lǐng)域的技術(shù)人員更好地理解本發(fā)明的技術(shù)方案,下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明所提供的一種Docker容器的創(chuàng)建方法和創(chuàng)建系統(tǒng)作進(jìn)一步詳細(xì)描述。
實(shí)施例1:
本實(shí)施例提供一種Docker容器的創(chuàng)建方法,如圖1所示,包括:
步驟S1:為Docker容器中的鏡像定義強(qiáng)制訪問控制策略, 以使開啟Docker容器中的進(jìn)程時(shí)使用強(qiáng)制訪問控制策略。
步驟S2:在Docker容器創(chuàng)建時(shí),將強(qiáng)制訪問控制策略嵌入鏡像中的元數(shù)據(jù)中。
該Docker容器的創(chuàng)建方法通過為Docker容器中的鏡像提供定制的強(qiáng)制訪問控制策略,能使進(jìn)程中運(yùn)行鏡像時(shí)能使用該強(qiáng)制訪問控制策略,從而避免主機(jī)內(nèi)核(如Linux操作系統(tǒng))在不同的系統(tǒng)調(diào)用中運(yùn)行Docker容器中的進(jìn)程時(shí)對(duì)Docker容器的安全形成威脅,加強(qiáng)了Docker容器的安全性;同時(shí)還簡(jiǎn)化了系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí)的強(qiáng)制訪問控制過程。
實(shí)施例2:
本實(shí)施例提供一種Docker容器的創(chuàng)建方法,包括:
步驟S1:為Docker容器中的鏡像定義強(qiáng)制訪問控制策略,以使開啟Docker容器中的進(jìn)程時(shí)使用強(qiáng)制訪問控制策略。
在該步驟中,為Docker容器中的鏡像定義強(qiáng)制訪問控制策略包括:
步驟S11:根據(jù)鏡像的功能為強(qiáng)制訪問控制策略定義名稱。
如:policy_module(docker_apache,1.0),即定義強(qiáng)制訪問控制策略的名稱為docker_apache,表示Docker容器中運(yùn)行的是apache服務(wù)程序。
步驟S12:定義鏡像的強(qiáng)制訪問控制類型。
如virt_sandbox_domain_template(httpd_t),即定義鏡像的強(qiáng)制訪問控制類型為httpd_t。
步驟S13:定義鏡像的強(qiáng)制訪問控制類型的類型權(quán)限上界。
本實(shí)施例中,鏡像的強(qiáng)制訪問控制類型的類型權(quán)限上界包括svirt_lxc_net_t。如typebounds http_t svirt_lxc_net_t,即定義鏡像的強(qiáng)制訪問控制類型的類型權(quán)限上界為svirt_lxc_net_t。
步驟S14:為鏡像的強(qiáng)制訪問控制類型定義名稱。
如type http_exec_t,即為鏡像的強(qiáng)制訪問控制類型定義 名稱為http_exec_t。
步驟S15:定義鏡像的強(qiáng)制訪問控制規(guī)則。
該步驟是為了在開啟Docker容器中的進(jìn)程時(shí)使用上述強(qiáng)制訪問控制策略,即當(dāng)開啟Docker容器中的進(jìn)程時(shí),該進(jìn)程按照定義的強(qiáng)制訪問控制規(guī)則執(zhí)行可執(zhí)行文件,具體包括:如圖2中所示,
當(dāng)進(jìn)程的類型和可執(zhí)行文件的類型均屬于系統(tǒng)策略中定義的類型集合時(shí),進(jìn)程不能執(zhí)行可執(zhí)行文件。
當(dāng)進(jìn)程的類型屬于系統(tǒng)策略中定義的類型集合,且可執(zhí)行文件的類型屬于強(qiáng)制訪問控制策略中定義的類型集合時(shí),判斷進(jìn)程的類型權(quán)限是否低于強(qiáng)制訪問控制類型的類型權(quán)限上界;如果是,進(jìn)程能執(zhí)行可執(zhí)行文件,且進(jìn)程的類型能切換為默認(rèn)類型;否則,進(jìn)程不能執(zhí)行可執(zhí)行文件,且進(jìn)程的類型不能切換為默認(rèn)類型。
當(dāng)進(jìn)程的類型屬于強(qiáng)制訪問控制策略中定義的類型集合,且可執(zhí)行文件的類型屬于系統(tǒng)策略中定義的類型集合時(shí),判斷可執(zhí)行文件的類型權(quán)限是否低于強(qiáng)制訪問控制類型的類型權(quán)限上界;如果是,進(jìn)程能執(zhí)行可執(zhí)行文件,且進(jìn)程的類型能切換為默認(rèn)類型;否則,進(jìn)程不能執(zhí)行可執(zhí)行文件,且進(jìn)程的類型不能切換為默認(rèn)類型。
當(dāng)進(jìn)程的類型和可執(zhí)行文件的類型均屬于強(qiáng)制訪問控制策略中定義的類型集合時(shí),進(jìn)程能執(zhí)行可執(zhí)行文件,且進(jìn)程的類型能切換為默認(rèn)類型。
其中,系統(tǒng)策略中定義的類型集合為系統(tǒng)定義的除Docker容器以外的系統(tǒng)中的其他進(jìn)程和文件的類型集合;強(qiáng)制訪問控制策略中定義的類型集合為給Docker容器中的鏡像定義的類型集合。本實(shí)施例中的系統(tǒng)如Linux操作系統(tǒng)。
需要說明的是,默認(rèn)類型是指能執(zhí)行可執(zhí)行文件的進(jìn)程切換到的類型,本發(fā)明中對(duì)默認(rèn)類型的具體類型不做限定。
本實(shí)施例中將強(qiáng)制訪問控制規(guī)則定義在Docker容器的鏡像 中,在系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí),直接按照該強(qiáng)制訪問控制規(guī)則運(yùn)行即可,無需再實(shí)時(shí)對(duì)進(jìn)程和可執(zhí)行文件的類型進(jìn)行判斷和切換,從而簡(jiǎn)化了系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí)的類型判斷和切換過程,同時(shí)還避免了系統(tǒng)在不同的系統(tǒng)調(diào)用中運(yùn)行Docker容器中的進(jìn)程時(shí)對(duì)Docker容器的安全形成威脅,加強(qiáng)了Docker容器的安全性。
下面舉例說明Docker容器中的進(jìn)程按照定義的強(qiáng)制訪問控制規(guī)則執(zhí)行可執(zhí)行文件時(shí)的類型切換格式:
類型切換的完整格式為:
Type_transition source_type target_type:process default_type;其中,source_type表示進(jìn)程的類型,target_type表示可執(zhí)行文件的類型,default_type表示能執(zhí)行可執(zhí)行文件的進(jìn)程切換到的類型。
例如:類型切換的語句為:type_transition svirt_lxc_net_t http_exec_t:process httpd_t;其意義表示當(dāng)類型為svirt_lxc_net_t的進(jìn)程執(zhí)行類型為http_exec_t的可執(zhí)行文件時(shí),類型為svirt_lxc_net_t的進(jìn)程能切換為類型為httpd_t的進(jìn)程。
步驟S2:在Docker容器創(chuàng)建時(shí),將強(qiáng)制訪問控制策略嵌入鏡像中的元數(shù)據(jù)中。
該步驟中,Docker容器支持通過LABEL指令給一個(gè)鏡像增加元信息,本實(shí)施例通過在創(chuàng)建鏡像時(shí),讓Docker容器鏡像維護(hù)者在鏡像的元數(shù)據(jù)中寫入強(qiáng)制訪問控制策略,從而加強(qiáng)了Docker容器的安全性。
實(shí)施例1-2的有益效果:實(shí)施例1-2所提供的Docker容器的創(chuàng)建方法,通過為Docker容器中的鏡像提供定制的強(qiáng)制訪問控制策略,能使進(jìn)程中運(yùn)行鏡像時(shí)能使用該強(qiáng)制訪問控制策略,從而避免了主機(jī)內(nèi)核(如Linux操作系統(tǒng))在不同的系統(tǒng)調(diào)用中運(yùn)行Docker容器中的進(jìn)程時(shí)對(duì)Docker容器的安全形成威脅,加強(qiáng)了Docker容器的安全性;同時(shí)還簡(jiǎn)化了系統(tǒng)調(diào)用或訪問 Docker容器中的進(jìn)程時(shí)的強(qiáng)制訪問控制過程。
實(shí)施例3:
本實(shí)施例提供一種Docker容器的創(chuàng)建系統(tǒng),如圖3所示,包括:定義模塊1,用于為Docker容器中的鏡像定義強(qiáng)制訪問控制策略,以使開啟Docker容器中的進(jìn)程時(shí)使用強(qiáng)制訪問控制策略。嵌入模塊2,用于在Docker容器創(chuàng)建時(shí),將強(qiáng)制訪問控制策略嵌入鏡像中的元數(shù)據(jù)中。
該Docker容器的創(chuàng)建系統(tǒng)通過設(shè)置定義模塊1和嵌入模塊2,能為Docker容器中的鏡像提供定制的強(qiáng)制訪問控制策略,以使進(jìn)程中運(yùn)行鏡像時(shí)能使用該強(qiáng)制訪問控制策略,從而避免了主機(jī)內(nèi)核(如Linux操作系統(tǒng))在不同的系統(tǒng)調(diào)用中運(yùn)行Docker容器中的進(jìn)程時(shí)對(duì)Docker容器的安全形成威脅,加強(qiáng)了Docker容器的安全性;同時(shí)還簡(jiǎn)化了系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí)的強(qiáng)制訪問控制過程。
本實(shí)施例中,定義模塊1包括:第一定義單元11,用于根據(jù)鏡像的功能為強(qiáng)制訪問控制策略定義名稱。第二定義單元12,用于定義鏡像的強(qiáng)制訪問控制類型。第三定義單元13,用于定義鏡像的強(qiáng)制訪問控制類型的類型權(quán)限上界。第四定義單元14,用于為鏡像的強(qiáng)制訪問控制類型定義名稱。第五定義單元15,用于定義鏡像的強(qiáng)制訪問控制規(guī)則。
其中,鏡像的強(qiáng)制訪問控制類型的類型權(quán)限上界包括svirt_lxc_net_t。
本實(shí)施例中,定義模塊1用于在開啟Docker容器中的進(jìn)程時(shí),使進(jìn)程按照強(qiáng)制訪問控制規(guī)則執(zhí)行可執(zhí)行文件。定義模塊1還用于在進(jìn)程的類型和可執(zhí)行文件的類型均屬于系統(tǒng)策略中定義的類型集合時(shí),使進(jìn)程不能執(zhí)行可執(zhí)行文件。定義模塊1還用于在進(jìn)程的類型屬于系統(tǒng)策略中定義的類型集合,且可執(zhí)行文件的類型屬于強(qiáng)制訪問控制策略中定義的類型集合時(shí),判斷進(jìn)程的類型權(quán)限是否低于強(qiáng)制訪問控制類型的類型權(quán)限上界,并根據(jù)判 斷結(jié)果確定進(jìn)程是否能執(zhí)行可執(zhí)行文件和進(jìn)程的類型是否能切換為默認(rèn)類型。定義模塊1還用于在進(jìn)程的類型屬于強(qiáng)制訪問控制策略中定義的類型集合,且可執(zhí)行文件的類型屬于系統(tǒng)策略中定義的類型集合時(shí),判斷可執(zhí)行文件的類型權(quán)限是否低于強(qiáng)制訪問控制類型的類型權(quán)限上界,并根據(jù)判斷結(jié)果確定進(jìn)程是否能執(zhí)行可執(zhí)行文件和進(jìn)程的類型是否能切換為默認(rèn)類型。定義模塊1還用于在進(jìn)程的類型和可執(zhí)行文件的類型均屬于強(qiáng)制訪問控制策略中定義的類型集合時(shí),使進(jìn)程能執(zhí)行可執(zhí)行文件,且進(jìn)程的類型能切換為默認(rèn)類型。
其中,系統(tǒng)策略中定義的類型集合為系統(tǒng)定義的除Docker容器以外的系統(tǒng)中的其他進(jìn)程和文件的類型集合;強(qiáng)制訪問控制策略中定義的類型集合為給Docker容器中的鏡像定義的類型集合。
本實(shí)施例中的系統(tǒng)如Linux操作系統(tǒng)。
需要說明的是,默認(rèn)類型是指能執(zhí)行可執(zhí)行文件的進(jìn)程切換到的類型,本發(fā)明中對(duì)默認(rèn)類型的具體類型不做限定。
本實(shí)施例中通過定義模塊1將強(qiáng)制訪問控制規(guī)則定義在Docker容器的鏡像中,在系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí),直接按照該強(qiáng)制訪問控制規(guī)則運(yùn)行即可,無需再實(shí)時(shí)對(duì)進(jìn)程和可執(zhí)行文件的類型進(jìn)行判斷和切換,從而簡(jiǎn)化了系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí)的類型判斷和切換過程,同時(shí)還避免了系統(tǒng)在不同的系統(tǒng)調(diào)用中運(yùn)行Docker容器中的進(jìn)程時(shí)對(duì)Docker容器的安全形成威脅,加強(qiáng)了Docker容器的安全性。
本實(shí)施例中,嵌入模塊2通過Docker容器支持的LABEL指令給一個(gè)鏡像增加元信息,本實(shí)施例通過在創(chuàng)建鏡像時(shí),在鏡像的元數(shù)據(jù)中寫入強(qiáng)制訪問控制策略,從而加強(qiáng)了Docker容器的安全性。
實(shí)施例3的有益效果:實(shí)施例3中所提供的Docker容器的創(chuàng)建系統(tǒng),通過設(shè)置定義模塊和嵌入模塊,能為Docker容器中的鏡像提供定制的強(qiáng)制訪問控制策略,以使進(jìn)程中運(yùn)行鏡像時(shí)能 使用該強(qiáng)制訪問控制策略,從而避免了主機(jī)內(nèi)核(如Linux操作系統(tǒng))在不同的系統(tǒng)調(diào)用中運(yùn)行Docker容器中的進(jìn)程時(shí)對(duì)Docker容器的安全形成威脅,加強(qiáng)了Docker容器的安全性;同時(shí)還簡(jiǎn)化了系統(tǒng)調(diào)用或訪問Docker容器中的進(jìn)程時(shí)的強(qiáng)制訪問控制過程。
可以理解的是,以上實(shí)施方式僅僅是為了說明本發(fā)明的原理而采用的示例性實(shí)施方式,然而本發(fā)明并不局限于此。對(duì)于本領(lǐng)域內(nèi)的普通技術(shù)人員而言,在不脫離本發(fā)明的精神和實(shí)質(zhì)的情況下,可以做出各種變型和改進(jìn),這些變型和改進(jìn)也視為本發(fā)明的保護(hù)范圍。